CVE-2025-30567

CVE-2025-30567

Título es
CVE-2025-30567

Mar, 25/03/2025 – 19:15

Tipo
CWE-22

Gravedad 2.0 Txt
Pendiente de análisis

Título en

CVE-2025-30567

Descripción en
Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') vulnerability in wp01ru WP01 allows Path Traversal. This issue affects WP01: from n/a through 2.6.2.

25/03/2025
25/03/2025
Vector CVSS:3.1
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

Gravedad 3.1 (CVSS 3.1 Base Score)
7.50

Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)
HIGH

Enviar en el boletín
Off

CVE-2025-30216

CVE-2025-30216

Título es
CVE-2025-30216

Mar, 25/03/2025 – 20:15

Tipo
CWE-122

Gravedad 2.0 Txt
Pendiente de análisis

Título en

CVE-2025-30216

Descripción en
CryptoLib provides a software-only solution using the CCSDS Space Data Link Security Protocol – Extended Procedures (SDLS-EP) to secure communications between a spacecraft running the core Flight System (cFS) and a ground station. In versions 1.3.3 and prior, a Heap Overflow vulnerability occurs in the `Crypto_TM_ProcessSecurity` function (`crypto_tm.c:1735:8`). When processing the Secondary Header Length of a TM protocol packet, if the Secondary Header Length exceeds the packet's total length, a heap overflow is triggered during the memcpy operation that copies packet data into the dynamically allocated buffer `p_new_dec_frame`. This allows an attacker to overwrite adjacent heap memory, potentially leading to arbitrary code execution or system instability. A patch is available at commit 810fd66d592c883125272fef123c3240db2f170f.

25/03/2025
25/03/2025
Vector CVSS:3.1
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:H/A:H

Gravedad 3.1 (CVSS 3.1 Base Score)
9.40

Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)
CRITICAL

Enviar en el boletín
Off

CVE-2025-30118

CVE-2025-30118

Título es
CVE-2025-30118

Mar, 25/03/2025 – 20:15

Gravedad 2.0 Txt
Pendiente de análisis

Título en

CVE-2025-30118

Descripción en
An issue was discovered on the Audi Universal Traffic Recorder 2.88. It has Susceptibility to denial of service. It uses the same default credentials for all devices and does not implement proper multi-device authentication, allowing attackers to deny the owner access by occupying the only available connection. The SSID remains broadcast at all times, increasing exposure to potential attacks.

25/03/2025
25/03/2025
Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)
Pendiente de análisis

Enviar en el boletín
Off

CVE-2024-48818

CVE-2024-48818

Título es
CVE-2024-48818

Mar, 25/03/2025 – 20:15

Gravedad 2.0 Txt
Pendiente de análisis

Título en

CVE-2024-48818

Descripción en
An issue in IIT Bombay, Mumbai, India Bodhitree of cs101 version allows a remote attacker to execute arbitrary code.

25/03/2025
25/03/2025
Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)
Pendiente de análisis

Enviar en el boletín
Off

La Unión Europea respira aires de guerra: el ejecutivo pide a los ciudadanos tener reservas en casa

La Unión Europea (UE) debe prepararse para una variedad de escenarios críticos y devastadores ante la inestabilidad geopolítica, el plan de rearme frente a Rusia, la incertidumbre sobre el apoyo estadounidense y el aumento de desastres naturales, según la Comisión Europea. El órgano ejecutivo de la eurozona insta a los ciudadanos del bloque a estar listos para una posible guerra, ciberataques a gran escala, pandemias y los impactos de la crisis climática. Ha recomendado almacenar suministros esenciales para subsistir durante 72 horas sin ayuda externa.

Esta recomendación forma parte de la Estrategia de Preparación de la Unión, un plan diseñado para fortalecer al bloque en tiempos de crisis. El documento será presentado esta semana, aunque ya ha sido filtrado a la prensa.

“Debemos prepararnos para incidentes y crisis intersectoriales a gran escala, incluida la posibilidad de agresión armada, que afecten a uno o más Estados miembros. En un contexto de aumento de los riesgos naturales y antropogénicos, y de deterioro de las perspectivas de seguridad para Europa, es urgente que la Unión Europea y sus miembros refuercen su preparación”, señala el borrador de la iniciativa, al que tuvo acceso El País y que aún podría pasar por modificaciones.


article image
Drones y ciberdefensa: expertos detallan el tipo de tecnología que Europa debe buscar ante un posible rompimiento con EE UU

Un informe de Instituto de Kiel para la Economía Mundial sugiere la creación de un “muro de drones de amplio alcance” compuesto por miles de vehículos no tripulados y una red submarina de vigilancia en los Estados bálticos.


Según el documento, la sociedad europea podría entrar en un estado de emergencia militar o climática en el corto plazo. La estrategia propuesta contempla alrededor de 30 medidas clave para garantizar la seguridad y el bienestar de la ciudadanía. Entre ellas, destacan programas de preparación civil para emergencias, maniobras conjuntas de prevención y reacción, así como un plan para asegurar el abastecimiento de medicinas, materias primas, energía y productos alimenticios básicos.

“La UE debe ser capaz de desplegar todos los medios y activos disponibles en apoyo de los Estados miembros. Esto podría incluir recursos militares proporcionados por los países”, indica la estrategia.

La Comisión Europea también evalúa la creación de una plataforma digital para informar a la población y a los viajeros extranjeros sobre los riesgos de posibles crisis, además de ofrecer datos sobre alternativas de refugio y atención en situaciones de emergencia. El borrador señala que el organismo planea instaurar “un día europeo de preparación” para concienciar a empresas, sociedad e instituciones sobre la importancia de estar prevenidos ante cualquier desastre.

La Estrategia de Preparación de la Unión se basa en un análisis del expresidente de Finlandia, Sauli Niinistö, quien el año pasado propuso que al menos un 20% del presupuesto conjunto del bloque se destine a mecanismos de seguridad y preparación ante crisis.

Defensa: una preocupación variable en la UE

La propuesta, aún inédita, forma parte de un conjunto más amplio de acciones que buscan garantizar, hasta 2030, la resiliencia económica, militar y social de la Unión Europea. Este paquete incluye la regulación y financiamiento para el rearme europeo, la Plataforma Europea de Adaptación al Clima, la Ley de Medicamentos Críticos y el Pacto Industrial Limpio.

La iniciativa de la Comisión Europea está en sintonía con las acciones que algunos países del bloque han comenzado a implementar de manera independiente. Por ejemplo, el Gobierno de Francia planea distribuir un manual de supervivencia a los hogares este verano. El folleto contendrá instrucciones prácticas sobre cómo actuar ante emergencias nacionales o “amenazas inminentes”, que incluyen amenazas nucleares, ciberataques, desastres naturales y conflictos bélicos. Esta iniciativa se inspira en una similar implementada por Suecia, que ha distribuido materiales de prevención en cinco ocasiones desde la Segunda Guerra Mundial.

Según los últimos resultados del Eurobarómetro, en promedio, 36% de los habitantes de la Unión Europea están preocupados por la seguridad y la defensa del bloque. En España y Malta, este porcentaje cae al 20%, el nivel más bajo de la región. Italia también se encuentra por debajo de la media.

Para el 66% de los europeos, la Unión Europea debería desempeñar un papel más relevante en la protección de la ciudadanía. Existe un consenso sobre la necesidad de optimizar la colaboración, el apoyo y la cooperación entre los 27 países del bloque. Además, 89% de los ciudadanos consideran que la unidad es fundamental para afrontar los desafíos globales. Sin embargo, un 76% opina que la Unión Europea requiere más recursos para enfrentar estos retos.

El impacto positivo de la UE en la vida cotidiana es reconocido por un 72% de la población, mientras que un 74% cree que su país se ha beneficiado de la membresía, el porcentaje más alto registrado desde 1983.

CVE-2024-55604

CVE-2024-55604

Título es
CVE-2024-55604

Mar, 25/03/2025 – 15:15

Tipo
CWE-280

Gravedad 2.0 Txt
Pendiente de análisis

Título en

CVE-2024-55604

Descripción en
Appsmith is a platform to build admin panels, internal tools, and dashboards. Users invited as "App Viewer" should not have access to development information of a workspace. Datasources are such a component in a workspace. Yet, in versions of Appsmith prior to 1.51, app viewers are able to get a list of datasources in a workspace they're a member of. This information disclosure does NOT expose sensitive data in the datasources, such as database passwords and API Keys. The attacker needs to have been invited to a workspace as a "viewer", by someone in that workspace with access to invite. The attacker then needs to be able to signup/login to that Appsmith instance. The issue is patched in version 1.51. No known workarounds are available.

25/03/2025
25/03/2025
Vector CVSS:4.0
CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:A/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X

Gravedad 4.0
4.80

Gravedad 4.0 txt
MEDIUM

Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)
Pendiente de análisis

Enviar en el boletín
Off

CVE-2025-27147

CVE-2025-27147

Título es
CVE-2025-27147

Mar, 25/03/2025 – 15:15

Tipo
CWE-22

Gravedad 2.0 Txt
Pendiente de análisis

Título en

CVE-2025-27147

Descripción en
The GLPI Inventory Plugin handles various types of tasks for GLPI agents, including network discovery and inventory (SNMP), software deployment, VMWare ESX host remote inventory, and data collection (files, Windows registry, WMI). Versions prior to 1.5.0 have an improper access control vulnerability. Version 1.5.0 fixes the vulnerability.

25/03/2025
25/03/2025
Vector CVSS:3.1
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:L/A:L

Gravedad 3.1 (CVSS 3.1 Base Score)
8.20

Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)
HIGH

Enviar en el boletín
Off

CVE-2025-26742

CVE-2025-26742

Título es
CVE-2025-26742

Mar, 25/03/2025 – 15:15

Tipo
CWE-79

Gravedad 2.0 Txt
Pendiente de análisis

Título en

CVE-2025-26742

Descripción en
Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') vulnerability in GhozyLab Gallery for Social Photo allows Stored XSS.This issue affects Gallery for Social Photo: from n/a through 1.0.0.35.

25/03/2025
25/03/2025
Vector CVSS:3.1
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:L

Gravedad 3.1 (CVSS 3.1 Base Score)
6.50

Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)
MEDIUM

Enviar en el boletín
Off

CVE-2025-2532

CVE-2025-2532

Título es
CVE-2025-2532

Mar, 25/03/2025 – 15:15

Tipo
CWE-416

Gravedad 2.0 Txt
Pendiente de análisis

Título en

CVE-2025-2532

Descripción en
Luxion KeyShot USDC File Parsing Use-After-Free Remote Code Execution Vulnerability. This vulnerability allows remote attackers to execute arbitrary code on affected installations of Luxion KeyShot. User interaction is required to exploit this vulnerability in that the target must visit a malicious page or open a malicious file.

The specific flaw exists within the parsing of usdc files. The issue results from the lack of validating the existence of an object prior to performing operations on the object. An attacker can leverage this vulnerability to execute code in the context of the current process. Was ZDI-CAN-23709.

25/03/2025
25/03/2025
Vector CVSS:3.1
CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

Gravedad 3.1 (CVSS 3.1 Base Score)
7.80

Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)
HIGH

Enviar en el boletín
Off

CVE-2025-2531

CVE-2025-2531

Título es
CVE-2025-2531

Mar, 25/03/2025 – 15:15

Tipo
CWE-122

Gravedad 2.0 Txt
Pendiente de análisis

Título en

CVE-2025-2531

Descripción en
Luxion KeyShot DAE File Parsing Heap-based Buffer Overflow Remote Code Execution Vulnerability. This vulnerability allows remote attackers to execute arbitrary code on affected installations of Luxion KeyShot. User interaction is required to exploit this vulnerability in that the target must visit a malicious page or open a malicious file.

The specific flaw exists within the parsing of dae files. The issue results from the lack of proper validation of the length of user-supplied data prior to copying it to a heap-based buffer. An attacker can leverage this vulnerability to execute code in the context of the current process. Was ZDI-CAN-23704.

25/03/2025
25/03/2025
Vector CVSS:3.1
CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

Gravedad 3.1 (CVSS 3.1 Base Score)
7.80

Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)
HIGH

Enviar en el boletín
Off